공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
제 목 [보안긴급상황] Zotob 웜 및 변종 확산
작성자 하나로호스팅 ( hosting@hhosting.co.kr ) 등록정보 2005-08-16 14:02:00 조회수 27631


보안관련 긴급상황이 발생하여 혹시나 관련된 상황에 계신 분들이나 또는 관련 장비를 관리하고 계시다면 주의를 부탁 드리겠습니다. 혹시나 해당 문제점이 발생되었다면 연락 부탁 드리겠습니다.



MS05-039 (PnP) 취약점을 공격하는 Zotob 및 그 변종, 그리고 또다른 웜인 Spybot 변종이 발견되었습니다. 이 취약점과 관련해서는 Windows 2000만 영향을 받습니다. 하지만 다양한 취약점을 공격하도록 수시로 변종이 나타날 수 있습니다.



대부분의 안티바이러스 패턴 파일이 업데이트되어 이들 악성 코드를 제거할 수 있습니다. 수동으로 감염 여부를 확인하려면 다음 파일의 존재 및 네트워크 포트 사용 여부로 알 수 있습니다.



Win32/Zotob.A: 파일 C:WinntSystem32otzor.exe, 네트워크 TCP 8080, 8888, 33333 포트
Win32/Zotob.B: 파일 C:WinntSystem32cms.exe, 네트워크 TCP 8080, 8888, 33333 포트
Win32/Spybot: 파일 C:WinntSystem32pnpsrv.exe, 네트워크 TCP 5232 포트



앞으로 계속 나타날 변종을 수동으로 추적하기는 쉽지 않으므로 안티바이러스 제품으로 치료하시기를 권장합니다만, 수동 제거 방법을 포함하여 대처 방법은 다음과 같습니다.



1. 아직 감염되지 않았다면
A. 방화벽에서 TCP 139와 445 포트를 차단 (가능하면 inbound 방향 모든 포트 차단)
B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설치 (시스템 재시작 필요)
C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트



2. 이미 감염된 것으로 의심이 된다면
A. 방화벽에서 TCP 139와 445 포트를 차단
B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설치 (시스템 재시작 필요)
C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트
D. 인터넷 연결 케이블 분리
E. 악성 소프트웨어 제거
- 안티바이러스 제품을 통해 제거 (추천 방법)
또는
- 수동으로 제거
1) 작업 관리자에서 웜의 프로세스 중단
2) 탐색기에서 웜의 파일 삭제
3) 레지스트리 편집기에서 웜의 레지스트리 항목 삭제
4) host 파일 원상 복구 또는 삭제
F. 시스템 재시작
G. 인터넷 연결 케이블 다시 연결



위 내용 중 2.E.1)~2.E.4) 내용은 변종에 따라 달라집니다.



이번 문제와 관련된 Windows 2000용 보안 업데이트(패치)를 수동으로 다운로드할 수 있는 곳은 다음과 같습니다.
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F



MS 한국어 보안 웹 사이트에 관련 정보가 링크되어 있습니다.

http://www.microsoft.com/korea/security/



"RestrictAnonymous = 2 설정" 방법을 사용할 경우, 오히려 이 설정으로 인한 문제가 발생하지 않도록 유의하여 주십시오.



Microsoft Security Advisory (899588)

http://www.microsoft.com/technet/security/advisory/899588.mspx

총 173 건
번호 제목 등록일 조회수
11 [하나로호스팅-보안공지] Win32.zotob 취약점 대응 매뉴얼 안내 2005-08-18 27144
=> [보안긴급상황] Zotob 웜 및 변종 확산 2005-08-16 27631
9 [관제센터]보안권고문<중,일 사이버전에 따른 침해사고 예방> 2005-08-11 26540
8 JAVA기반 웹서버 업그레이드 실시 2005-07-26 27065
7 MS윈도우 보안패치 권고사항(2005.6.15) 2005-06-16 27331
6 홈페이지 개발 보안 가이드 배포 2005-05-19 26935
5 [ : 보안권고문 ] 홈페이지 대량 변조 발생에 따른 ‘주의’ 경보발령 2005-01-07 28128
4 [긴급]제로보드나 KorWeblog 사용 업체는 신속패치 요망 2005-01-04 26255
3 [C급] SPYBOT.S 웜 예보 2004-01-26 30976
2 MDAC 함수의 버퍼 오버런으로 인한 코드 실행 문제(MS04-003) 2004-01-26 27282
1 [긴급]Linux Kernel privilege escalation security 취약점 공지 2003-12-12 27696
  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  
1